会员服务
攻击 · 提示注入 · 推断 · 相同 · 设计 ·
4 月 15 日
Prompt Injection as Role Confusion
翻译:提示注入即角色混淆
Charles Ye,Jasmine Cui,Dylan Hadfield-Menell
Charles Ye,Jasmine Cui,Dylan Hadfield-Menell

Language models remain vulnerable to prompt injection attacks despite extensive safety training. We trace this failure to role confusion: models infer the source of text based on how it sounds, not where it actually comes from. A command hidden in a webpage hijacks an agent simply because it sounds like a user instruction. This is not just behavioral: in the model's internal representations, text that sounds like a trusted source occupies the same space as text that actually is one. We design role probes which measure how models internally perceive "who is speaking", showing that attacker-controllable signals (e.g. syntactic patterns, lexical choice) control role perception. We first test this with CoT Forgery, a zero-shot attack that injects fabricated reasoning into user prompts or ingested webpages. Models mistake the text for their own thoughts, yielding 60% attack success on StrongREJECT across frontier models with near-0% baselines. Strikingly, the degree of role confusion strongly predicts attack success. We then generalize these results to standard agent prompt injections, introducing a unifying framework that reframes prompt injection not as an ad-hoc exploit but as a measurable consequence of how models represent role.


翻译:尽管经过广泛的安全训练,语言模型仍易受提示注入攻击。我们将此缺陷归因于"角色混淆":模型根据文本的措辞风格而非实际来源推断其出处。隐藏在网页中的指令之所以能劫持智能体,仅仅因为其措辞风格类似用户指令。这不仅是行为层面的问题:在模型内部表征中,风格类似可信来源的文本与真实可信来源的文本占据相同的表征空间。我们设计了"角色探针"来测量模型内部如何感知"谁在说话",证明攻击者可控信号(如句法模式、词汇选择)能够控制角色感知。我们首先通过"思维链伪造"攻击测试该假设——这是一种零样本攻击,将捏造的推理过程注入用户提示或已摄取网页。模型将这些文本误判为自身思维,针对前沿模型的StrongREJECT攻击成功率高达60%,而基线攻击成功率接近0%。值得注意的是,角色混淆程度与攻击成功率呈现强相关性。随后我们将此结论推广至标准智能体提示注入,提出统一框架,将提示注入重新定义为模型表征角色方式的可量化后果,而非临时性漏洞利用行为。
0
下载
关闭预览

相关内容

ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
专知会员服务
8+阅读 · 6月8日
大型语言模型系统中提示缺陷的分类学
大型语言模型系统中提示缺陷的分类学
专知会员服务
8+阅读 · 2025年9月19日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
17+阅读 · 2025年5月22日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
专知会员服务
52+阅读 · 2025年4月10日
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
专知会员服务
79+阅读 · 2025年2月24日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
如何提示?浙大最新《大型语言模型提示框架》综述
如何提示?浙大最新《大型语言模型提示框架》综述
专知会员服务
83+阅读 · 2023年11月23日
《深度伪造与国际冲突》
《深度伪造与国际冲突》
专知会员服务
39+阅读 · 2023年10月27日
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
专知会员服务
51+阅读 · 2020年3月17日
知识图谱嵌入的Translate模型汇总(TransE,TransH,TransR,TransD)
知识图谱嵌入的Translate模型汇总(TransE,TransH,TransR,TransD)
深度学习自然语言处理
31+阅读 · 2020年6月12日
什么是语义角色标注?
什么是语义角色标注?
人工智能头条
18+阅读 · 2019年4月28日
注意力能提高模型可解释性?实验表明:并没有
注意力能提高模型可解释性?实验表明:并没有
黑龙江大学自然语言处理实验室
11+阅读 · 2019年4月16日
深入理解BERT Transformer ,不仅仅是注意力机制
深入理解BERT Transformer ,不仅仅是注意力机制
大数据文摘
22+阅读 · 2019年3月19日
用模型不确定性理解模型
用模型不确定性理解模型
论智
11+阅读 · 2018年9月5日
跨越注意力:Cross-Attention
跨越注意力:Cross-Attention
我爱读PAMI
172+阅读 · 2018年6月2日
【论文笔记】用图卷积网络( GCN)来做语义角色标注
【论文笔记】用图卷积网络( GCN)来做语义角色标注
专知
61+阅读 · 2018年5月26日
一次 PyTorch 的踩坑经历,以及如何避免梯度成为NaN
一次 PyTorch 的踩坑经历,以及如何避免梯度成为NaN
AI研习社
14+阅读 · 2017年12月23日
深度学习中的注意力机制
深度学习中的注意力机制
CSDN大数据
24+阅读 · 2017年11月2日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
图文混合跨媒体知识单元的模糊分类方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于上下文精化的并发对象活性的描述及验证
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
随机映射框架下的图像语义分析与提取技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
ProxyPrompt: Securing System Prompts against Prompt Extraction Attacks
Arxiv
0+阅读 · 4月29日
DeepSeek Robustness Against Semantic-Character Dual-Space Mutated Prompt Injection
Arxiv
0+阅读 · 4月14日
PIArena: A Platform for Prompt Injection Evaluation
Arxiv
0+阅读 · 4月9日
Emergent Inference-Time Semantic Contamination via In-Context Priming
Arxiv
0+阅读 · 4月5日
Bypassing Prompt Injection Detectors through Evasive Injections
Arxiv
0+阅读 · 4月1日
Architecting Secure AI Agents: Perspectives on System-Level Defenses Against Indirect Prompt Injection Attacks
Arxiv
0+阅读 · 3月31日
Misleading Large Language Models used (or misused) in Scientific Peer-Reviewing via Hidden Prompt-Injection Attacks
Arxiv
0+阅读 · 3月30日
Injecting Falsehoods: Adversarial Man-in-the-Middle Attacks Undermining Factual Recall in LLMs
Arxiv
0+阅读 · 3月24日
Indirect Prompt Injections: Are Firewalls All You Need, or Stronger Benchmarks?
Arxiv
0+阅读 · 3月23日
Prompt Injection as Role Confusion
Arxiv
0+阅读 · 3月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
提示注入
推断
相同
设计
最新内容
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
6+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
3+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
5+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
19+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
13+阅读 · 6月18日
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
12+阅读 · 6月18日
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
8+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
13+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
10+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
24+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
12+阅读 · 6月17日
相关VIP内容
ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
专知会员服务
8+阅读 · 6月8日
大型语言模型系统中提示缺陷的分类学
大型语言模型系统中提示缺陷的分类学
专知会员服务
8+阅读 · 2025年9月19日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
17+阅读 · 2025年5月22日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
专知会员服务
52+阅读 · 2025年4月10日
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
专知会员服务
79+阅读 · 2025年2月24日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
如何提示?浙大最新《大型语言模型提示框架》综述
如何提示?浙大最新《大型语言模型提示框架》综述
专知会员服务
83+阅读 · 2023年11月23日
《深度伪造与国际冲突》
《深度伪造与国际冲突》
专知会员服务
39+阅读 · 2023年10月27日
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
专知会员服务
51+阅读 · 2020年3月17日
热门VIP内容
相关资讯
知识图谱嵌入的Translate模型汇总(TransE,TransH,TransR,TransD)
知识图谱嵌入的Translate模型汇总(TransE,TransH,TransR,TransD)
深度学习自然语言处理
31+阅读 · 2020年6月12日
什么是语义角色标注?
什么是语义角色标注?
人工智能头条
18+阅读 · 2019年4月28日
注意力能提高模型可解释性?实验表明:并没有
注意力能提高模型可解释性?实验表明:并没有
黑龙江大学自然语言处理实验室
11+阅读 · 2019年4月16日
深入理解BERT Transformer ,不仅仅是注意力机制
深入理解BERT Transformer ,不仅仅是注意力机制
大数据文摘
22+阅读 · 2019年3月19日
用模型不确定性理解模型
用模型不确定性理解模型
论智
11+阅读 · 2018年9月5日
跨越注意力:Cross-Attention
跨越注意力:Cross-Attention
我爱读PAMI
172+阅读 · 2018年6月2日
【论文笔记】用图卷积网络( GCN)来做语义角色标注
【论文笔记】用图卷积网络( GCN)来做语义角色标注
专知
61+阅读 · 2018年5月26日
一次 PyTorch 的踩坑经历,以及如何避免梯度成为NaN
一次 PyTorch 的踩坑经历,以及如何避免梯度成为NaN
AI研习社
14+阅读 · 2017年12月23日
深度学习中的注意力机制
深度学习中的注意力机制
CSDN大数据
24+阅读 · 2017年11月2日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
相关论文
ProxyPrompt: Securing System Prompts against Prompt Extraction Attacks
Arxiv
0+阅读 · 4月29日
DeepSeek Robustness Against Semantic-Character Dual-Space Mutated Prompt Injection
Arxiv
0+阅读 · 4月14日
PIArena: A Platform for Prompt Injection Evaluation
Arxiv
0+阅读 · 4月9日
Emergent Inference-Time Semantic Contamination via In-Context Priming
Arxiv
0+阅读 · 4月5日
Bypassing Prompt Injection Detectors through Evasive Injections
Arxiv
0+阅读 · 4月1日
Architecting Secure AI Agents: Perspectives on System-Level Defenses Against Indirect Prompt Injection Attacks
Arxiv
0+阅读 · 3月31日
Misleading Large Language Models used (or misused) in Scientific Peer-Reviewing via Hidden Prompt-Injection Attacks
Arxiv
0+阅读 · 3月30日
Injecting Falsehoods: Adversarial Man-in-the-Middle Attacks Undermining Factual Recall in LLMs
Arxiv
0+阅读 · 3月24日
Indirect Prompt Injections: Are Firewalls All You Need, or Stronger Benchmarks?
Arxiv
0+阅读 · 3月23日
Prompt Injection as Role Confusion
Arxiv
0+阅读 · 3月20日
相关基金
图文混合跨媒体知识单元的模糊分类方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于上下文精化的并发对象活性的描述及验证
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
随机映射框架下的图像语义分析与提取技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top